报告题目:SSL协议在Web服务中的实现和部署安全分析 |
|
报告摘要 基于公钥基础设施(PKI)的SSL/TLS 是目前应用最为广泛的安全通信协议,是目前Web应用系统安全的基础。然而,无论从设计、实现还是部署方面,SSL在Web应用中存在着许多安全问题。此报告从安全通信涉及到的多个参与方(Browser、Web Server、CA、DNS、CDN等)分析SSL协议在Web应用中存在的安全隐患,包括信任模型的问题、证书撤销的问题、浏览器的同源问题、DNS绑定问题、CDN的授权代理等,并分析可能的攻击方式。最后介绍DANE、Keyless SSL等最新的研究进展,分析增强SSL安全性的未来发展。 报告人简介 段海新,博士,研究员,博士生导师。就职于清华大学网络科学与网络空间研究院,网络和信息安全研究室主任,加州大学伯克利访问学者。长期致力于网络安全相关的教学、科研和运行管理工作。主要研究兴趣:网络基础设施(域名、路由、公钥基础设施等)安全、Web安全、网络协议安全性分析、入侵检测、网络测量、匿名通信等。 从研究生开始进入网络安全研究领域,二十年来一直从事网络和信息安全相关的研究、教学工作,并作为中国教育和科研计算机网应急响应组(CCERT)负责人参与网络运行安全管理工作,主要研究方向包括网络基础设施安全、Web安全、入侵检测等。承担国家973、863、自然科学基金项目多项,在国际顶级会议上有多篇学术论文发表,研究成果在国际工业界和学术界引起了广泛关注。中国密码学会协议安全专业委员会委员,多次担任国际学术会议程序委员或期刊审稿人。 |
|